DocuSign - Измама с документи по имейл от правния отдел

Неочакваните имейли могат да представляват значителни рискове за киберсигурността, особено когато създават усещане за неотложност и изглеждат сякаш произхождат от надеждни марки. Киберпрестъпниците често експлоатират известни компании, за да направят измамните съобщения да изглеждат убедителни и да увеличат вероятността получателите да взаимодействат с тях. Измамата с имейли „DocuSign - Legal Department Document“ е един такъв пример. Тези имейли не са свързани с DocuSign или с която и да е легитимна компания, организация или юридическо лице. Вместо това те са част от злонамерена спам кампания, предназначена да разпространява зловреден софтуер.

Заявка за фалшив правен документ

Изследователи по киберсигурност са анализирали тези имейли и са ги идентифицирали като малспам съобщения, целящи да подведат получателите да изтеглят злонамерен софтуер. Имейлите обикновено пристигат с тема „Supply Chain Regulatory Filing ID#SCR-392847“ и твърдят, че произхождат от правния отдел на DocuSign.

Според съобщението, документ е изпратен за електронен подпис и трябва да бъде прегледан в рамките на три дни. За да се подсили илюзията за легитимност, имейлът съдържа ясно видим бутон „Преглед на документа“ и предоставя „Алтернативен метод за подписване“, придружен от код за сигурност. Тези елементи са внимателно изработени, за да изглежда заявката автентична и надеждна.

Въпреки че DocuSign е легитимна платформа за електронен подпис, тя няма връзка с тази кампания. Освен това, имейл адресът на подателя произхожда от несвързан домейн на трета страна, а не от самата DocuSign.

Истинската цел зад имейла

Крайната цел на измамата е да убеди получателите да изтеглят злонамерен ISO файл с образ на диск. Независимо дали жертвите кликнат върху предоставения бутон или следват алтернативните инструкции, те биват насочени към получаване на злонамерения файл.

ISO файловете могат да бъдат монтирани директно от Windows като виртуални устройства, което ги прави привлекателни инструменти за киберпрестъпниците. Нападателите често използват този формат, защото понякога може да заобиколи филтрите за сигурност, които иначе биха блокирали по-очевидни злонамерени прикачени файлове.

След като ISO файлът е монтиран, той разкрива един изпълним файл с име:

„NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe“

Името на файла е умишлено подвеждащо. Включването на „.DOC“ е предназначено да направи файла да изглежда като безобиден документ на Microsoft Word. В действителност, окончателното разширение „.exe“ го идентифицира като изпълнима програма, способна да изпълнява код на компютъра на жертвата.

Какво се случва след отварянето на файла?

Точният зловреден софтуер, доставен чрез тази кампания, не е окончателно идентифициран. Файлът обаче може да инсталира различни опасни заплахи, включително рансъмуер, банкови троянски коне, крадци на идентификационни данни, кейлогъри, троянски коне за отдалечен достъп (RAT) или други форми на зловреден софтуер.

Потенциалните последици включват:

• Кражба на потребителски имена, пароли и финансова информация
• Кражба на самоличност, финансови загуби, неоторизиран достъп до системата и криптиране на данни

Тъй като възможностите на зловредния софтуер остават неизвестни, всяко взаимодействие с изпълнимия файл трябва да се третира като сериозен инцидент със сигурността.

Предупредителни знаци, които разкриват измамата

Въпреки убедителния външен вид на съобщението, няколко индикатора предполагат измамна дейност. Имейлът разчита до голяма степен на спешност, като налага тридневен краен срок за преглед на документите. В него също така се посочва идентификатор за подаване на документи, за да се създаде усещане за важност и да се окаже натиск върху получателите да действат бързо, без да проверяват заявката.

Използването на надеждна марка, като например DocuSign, е друга често срещана тактика за социално инженерство. Киберпрестъпниците разбират, че потребителите са по-склонни да се доверяват на познати услуги, особено когато съобщението изглежда професионално и съдържа подробности като кодове за потвърждение или инструкции за подписване.

Какво да направите, ако получите този имейл

Получателите трябва да избягват взаимодействие със съобщението по какъвто и да е начин. Най-безопасният подход е незабавно да изтрият имейла и да се въздържат от отваряне на прикачени файлове, кликване върху връзки, изтегляне на файлове или следване на инструкции, съдържащи се в съобщението.

Лицата, които вече са изтеглили или изпълнили файла, трябва да изключат засегнатото устройство от мрежите, когато е възможно, и да извършат цялостно сканиране, използвайки надежден антивирусен софтуер или софтуер за защита на крайни точки. Всички потенциално компрометирани пароли също трябва да бъдат променени от чисто устройство, особено ако може да са били изложени на риск чувствителни акаунти.

Как спам кампаниите разпространяват зловреден софтуер

Кампанията, свързана с DocuSign, е само един пример за по-широка тенденция в киберпрестъпността. Злонамерените спам имейли остават един от най-често срещаните методи за разпространение на зловреден софтуер. Нападателите рутинно маскират вредно съдържание като фактури, правни съобщения, актуализации за доставки, известия за акаунти или бизнес документи.

Често срещаните формати за доставяне на зловреден софтуер включват ZIP и RAR архиви, изпълними файлове, PDF документи, файлове на Microsoft Office, скриптове и формати на дискови изображения, като ISO и IMG файлове. Някои злонамерени файлове започват процеса на заразяване веднага щом бъдат отворени, докато други изискват допълнителни действия от потребителя, като например активиране на макроси, извличане на архивирано съдържание или стартиране на вградени изпълними файлове.

Заключителни мисли

Измамата с имейл „DocuSign - Документ на правния отдел“ демонстрира как киберпрестъпниците комбинират представяне за надеждна марка, съобщения с правна тематика и изкуствена неотложност, за да привлекат жертвите към изпълнение на зловреден софтуер. Въпреки че съобщението може да изглежда автентично на пръв поглед, истинската му цел е да зарази системи и потенциално да компрометира чувствителна информация. Поддържането на предпазлив подход към нежеланите имейли, особено тези, които изискват незабавни действия или изтегляне на файлове, остава една от най-ефективните защити срещу подобни заплахи.